API Authentication

• 簡介
• 配置
  • 數(shù)據(jù)庫遷移
• 令牌生成
  • 哈希令牌
• 路由保護(hù)
• 請求中傳遞令牌

簡介

默認(rèn)情況下，Laravel 為 API 認(rèn)證提供了一個簡單的解決方案，它通過一個隨機(jī)令牌分配給應(yīng)用程序的每個用戶。在你的 config/auth.php 配置文件中，已經(jīng)定義了一個使用 token 驅(qū)動的 api 看守器。 這個驅(qū)動程序負(fù)責(zé)檢查傳入請求上的 API 令牌，并驗證它是否匹配數(shù)據(jù)庫中用戶分配的令牌。

注意: 雖然 Laravel 附帶了一個簡單的基于令牌的身份驗證保護(hù)，但我們強(qiáng)烈建議您考慮 Laravel Passport 來實現(xiàn)提供 API 身份驗證的健壯的生產(chǎn)應(yīng)用程序。

配置

數(shù)據(jù)庫準(zhǔn)備

在使用 token 驅(qū)動程序之前，你需要 創(chuàng)建一個遷移 它會在你的 users 表中添加一個 api_token 列：

Schema::table('users', function ($table) {  
  $table->string('api_token', 80)->after('password')    
                        ->unique()                        
                        ->nullable()                        
                        ->default(null);
               });

遷移創(chuàng)建后，運行 migrate Artisan 命令。

令牌生成

將 api_token 列添加到你的 users 表之后，你可以將隨機(jī) API 令牌分配給應(yīng)用程序中的每個用戶。 在注冊期間創(chuàng)建 User 模型時，應(yīng)該分配這些令牌。 當(dāng)使用 make:auth Artisan 命令提供的 認(rèn)證腳手架 , 這可以在 RegisterController 的 create 方法中完成：

use Illuminate\Support\Str;use Illuminate\Support\Facades\Hash;
/**
 * 在有效注冊之后創(chuàng)建一個新用戶實例：
 *
 * @param  array  $data
 * @return \App\User
 */
 protected function create(array $data){  
     return User::create([     
        'name' => $data['name'],        
        'email' => $data['email'],        
        'password' => Hash::make($data['password']),        
        'api_token' => Str::random(60),   
         ]);
     }

哈希令牌

在上面的示例中，API 令牌以純文本的形式存儲在數(shù)據(jù)庫中。如果你希望使用 SHA-256 散列對 API 令牌進(jìn)行散列， 你可以將 api 看守器配置的 hash 選項設(shè)置為 true 。 api 看守器在你的 config/auth.php 配置文件中定義：

'api' => [   
     'driver' => 'token',    
     'provider' => 'users',    
     'hash' => true,
   ],

生成哈希令牌

使用哈希令牌時， 你不應(yīng)該在用戶注冊期間生成 API 令牌。 相反， 你需要在應(yīng)用程序中實現(xiàn)自己的 API 令牌管理頁面。 這個頁面應(yīng)該允許用戶初始化和刷新其 API 令牌。 當(dāng)用戶發(fā)出初始化或者刷新令牌請求時，你應(yīng)該在數(shù)據(jù)中存儲令牌的哈希副本，并將令牌的純文本副本返回到視圖 / 前端客戶端進(jìn)行一次顯示。

例如，為給定用戶初始化 / 刷新令牌并將純文本令牌作為 JSON 響應(yīng)返回的控制器方法可能如下所示：

<?php
    namespace App\Http\Controllers;
    use Illuminate\Support\Str;
    use Illuminate\Http\Request;
    class ApiTokenController extends Controller{   
     /**
     * 更新已經(jīng)驗證過的用戶的 API 令牌。
     *
     * @param  \Illuminate\Http\Request  $request
     * @return array
     */  
   public function update(Request $request)
     {     
        $token = Str::random(60);        
        $request->user()->forceFill([       
             'api_token' => hash('sha256', $token),       
              ])->save();        
        return ['token' => $token];   
       }
    }

{tip} 因為上面例子中的 API 令牌具有足夠的熵，創(chuàng)建一個 "rainbow tables" 來查找散列令牌的原始值是不切實際的。 因此，不需要使用 bcrypt 之類的慢散列方法：

路由保護(hù)

Laravel 包含一個 身份認(rèn)證看守器 可以自動驗證傳入請求的 API 令牌。 你只需要在任何需要有效訪問令牌的路由上指定 auth:api 中間件：

use Illuminate\Http\Request;
Route::middleware('auth:api')->get('/user', function(Request $request) { 
   return $request->user();
 });

請求中傳遞令牌

有幾種方法可以將 API 令牌傳遞給你的應(yīng)用程序。 我們將在使用 Guzzle HTTP 庫演示其用法時去討論這些方法。 你可以根據(jù)應(yīng)用程序的需要選擇其中的任何方法。

請求參數(shù)

你的應(yīng)用程序的 API 使用者可以將其令牌作為 api_token 查詢字符串值：

$response = $client->request('GET', '/api/user?api_token='.$token);

請求負(fù)載

應(yīng)用程序的 API 使用者可以在請求的表單參數(shù)中以 api_token 的形式包含其 API 令牌：

$response = $client->request('POST', '/api/user', [  
     'headers' => [     
        'Accept' => 'application/json', 
       ],    
     'form_params' => [    
         'api_token' => $token,  
        ],
  ]);

Bearer 令牌

應(yīng)用程序的 API 使用者可以在請求的  Authorization 頭中提供其 API 令牌作為 Bearer 令牌:

$response = $client->request('POST', '/api/user', [ 
   'headers' => [    
       'Authorization' => 'Bearer '.$token,        
       'Accept' => 'application/json',   
      ],
 ]);